Il software dannoso, ovvero il malware , attacca in molte forme e dimensioni diverse. Inoltre, la sofisticazione del malware si è evoluta in modo significativo nel corso degli anni. Gli aggressori si rendono conto che tentare di iniettare l'intero pacchetto malware in un sistema in una sola volta non è sempre il modo più efficace.
Nel corso del tempo, il malware è diventato modulare. Alcune varianti di malware possono utilizzare moduli diversi per modificare il modo in cui influenzano il sistema di destinazione. Allora, cos’è il malware modulare e come funziona? Scopriamolo attraverso il seguente articolo!
Malware modulare: nuovo metodo di attacco invisibile per rubare dati
Cos'è il malware modulare?
Il malware modulare è una minaccia pericolosa che attacca il sistema in diverse fasi. Invece di un attacco diretto, il modulo malware adotta un approccio secondario.
Lo fa installando prima solo i componenti essenziali. Quindi, invece di creare fanfara e avvisare gli utenti della sua presenza, il primo modulo si rivolge al sistema e alla sicurezza informatica; quali parti sono le principali responsabili, che tipo di metodo di protezione viene applicato, dove il malware può trovare vulnerabilità, quali exploit hanno le maggiori probabilità di successo, ecc.
Dopo aver rilevato con successo l'ambiente locale, il modulo malware della prima fase può comunicare con il suo server di comando e controllo (C2). C2 può quindi rispondere inviando ulteriori istruzioni insieme a moduli malware aggiuntivi per sfruttare l'ambiente specifico in cui opera il malware.
Il malware modulare è più vantaggioso del malware che raggruppa tutte le funzionalità in un unico payload, in particolare:
- Gli autori di malware possono modificare rapidamente l'identità del malware per eludere antivirus e altri programmi di sicurezza.
- I moduli malware consentono di estendere la funzionalità a una varietà di ambienti. In questo modo, i creatori di malware possono reagire a obiettivi specifici o contrassegnare moduli specifici da utilizzare in ambienti specifici.
- I moduli originali erano molto piccoli e più facili da cambiare.
- La combinazione di più moduli malware aiuta i ricercatori di sicurezza a prevedere cosa accadrà dopo.
Il malware modulare non è una nuova minaccia. Gli sviluppatori di malware utilizzano in modo efficace programmi malware modulari da molto tempo. La differenza è che i ricercatori di sicurezza riscontrano più moduli malware in una varietà di situazioni. I ricercatori hanno anche scoperto l'enorme botnet Necurs (famigerata per la distribuzione delle varianti del ransomware Dridex e Locky ) che diffondeva moduli malware.
Esempio di modulo malware
Esistono alcuni esempi molto interessanti di moduli malware. Eccone alcuni.
Filtro VPN
VPNFilter è una versione recente di malware che attacca router e dispositivi Internet of Things (IoT) . Questo malware opera in tre fasi.
Il malware della prima fase contatta un server di comando e controllo per scaricare il modulo della seconda fase. Il modulo della seconda fase raccoglie dati, esegue comandi e può intervenire nella gestione del dispositivo (inclusa la possibilità di "congelare" il router, il dispositivo IoT o il NAS). La seconda fase può anche scaricare i moduli della terza fase, che fungono da plugin per la seconda fase. Il modulo a tre fasi include un pacchetto di rilevamento del traffico SCADA, un modulo di infezione e un modulo che consente al malware della fase 2 di comunicare utilizzando la rete Tor .
Puoi saperne di più su VPNFilter leggendo il seguente articolo: Come rilevare il malware VPNFilter prima che distrugga il router.
T9000
I ricercatori di sicurezza di Palo Alto Networks hanno scoperto il malware T9000 (non correlato a Terminator o Skynet).
T9000 è uno strumento di raccolta di informazioni e dati. Una volta installato, T9000 consente agli aggressori di "acquisire dati crittografati, acquisire schermate di applicazioni specifiche e prendere di mira specificamente gli utenti Skype " nonché i file dei prodotti Microsoft Office. Il T9000 viene fornito con diversi moduli progettati per eludere 24 diversi prodotti di sicurezza, modificando il processo di installazione per non essere rilevato.
DanaBot
DanaBot è un trojan bancario multifase con diversi plugin che gli aggressori utilizzano per estendere le sue funzionalità. Ad esempio, nel maggio 2018 DanaBot è stato individuato in una serie di attacchi contro banche australiane. A quel tempo, i ricercatori hanno scoperto un pacchetto di plugin per il rilevamento delle infezioni, un plugin per la visualizzazione remota VNC, un plugin per la raccolta dati e un plugin Tor che consente comunicazioni sicure.
"DanaBot è un trojan bancario, il che significa che in una certa misura è necessariamente geo-mirato", si legge nel blog Proofpoint DanaBot. “Nonostante le numerose precauzioni messe in atto, come abbiamo visto nella campagna statunitense, è ancora facile vedere la crescita attiva, l’espansione geografica e la sofisticazione del malware. Il malware stesso contiene diverse funzionalità anti-analisi, nonché moduli di controllo remoto e furto di informazioni regolarmente aggiornati, che si aggiungono alla sua minaccia per gli obiettivi. ”
Marap, AdvisorsBot e CobInt
L'articolo combina tre varianti di moduli malware in un'unica sezione perché gli straordinari ricercatori sulla sicurezza di Proofpoint le hanno esplorate tutte e tre contemporaneamente. Queste varianti del modulo malware sono simili ma hanno usi diversi. Inoltre, CobInt fa parte della campagna Cobalt Group, un'organizzazione criminale legata a una lunga lista di criminali informatici nel settore bancario e finanziario.
Marap e AdvisorsBot sono stati creati per prendere di mira l'intero sistema bersaglio a scopo di difesa e mappare la rete, quindi determinare se il malware deve scaricare l'intero payload. Se il sistema preso di mira soddisfa l'esigenza (ad esempio, ha valore), il malware passa alla seconda fase dell'attacco.
Come altre versioni dei moduli malware, Marap, AdvisorsBot e CobInt seguono un processo in tre fasi. La prima fase è solitamente un'e-mail con un allegato infetto da malware per lo scopo di sfruttamento iniziale. Se l'exploit viene eseguito, il malware richiede immediatamente la seconda fase. La seconda fase prevede un modulo di ricognizione per valutare le misure di sicurezza e il panorama della rete del sistema target. Se il malware dice che è tutto in ordine, la fase finale scarica il terzo modulo, compreso il payload principale.
Caos
Mayhem è una versione leggermente precedente del modulo malware. È apparso per la prima volta nel 2014. Tuttavia, Mayhem è ancora un esempio di ottimo malware modulare. Il malware, scoperto dai ricercatori di sicurezza di Yandex, prende di mira i server Web Linux e Unix. Si installa tramite uno script PHP dannoso.
Una volta installato, lo script può richiamare diversi plugin che determinano l'utilizzo ottimale del malware.
I plugin includono un cracker di password a forza bruta che prende di mira gli account FTP, WordPress e Joomla , un web crawler per cercare altri server vulnerabili e un exploit Heartbleed OpenSLL.
DiamondFox
L'ultima variante del modulo malware nell'articolo di oggi è anche una delle versioni più complete. Questo è anche uno dei più preoccupanti, per alcuni motivi.
Innanzitutto, DiamondFox è una botnet modulare venduta su vari forum clandestini. I potenziali criminali informatici possono acquistare il pacchetto botnet modulare DiamondFox per accedere a una gamma di funzionalità di attacco avanzate. Questo strumento viene aggiornato regolarmente e, come tutti gli altri servizi online, dispone di un'assistenza clienti personalizzata. (Ha anche un registro delle modifiche!)
Secondo motivo, la botnet modulare DiamondFox viene fornita con una serie di plugin. Queste funzionalità vengono attivate e disattivate tramite la dashboard, come si addice a un'app per la casa intelligente. I plugin includono strumenti di spionaggio adatti, strumenti per il furto di credenziali, strumenti DDoS, keylogger , posta spam e persino uno scanner RAM.
Come prevenire un attacco di malware modulare?
Al momento non esiste uno strumento specifico in grado di proteggere gli utenti da una variante del modulo malware. Inoltre, alcune varianti dei moduli malware hanno un ambito geografico limitato. Ad esempio, Marap, AdvisorsBot e CobInt si trovano principalmente in Russia e nei paesi della CSI.
I ricercatori di Proofpoint hanno dimostrato che, nonostante le attuali restrizioni geografiche, se altri criminali vedono un'organizzazione criminale consolidata che utilizza malware modulare, ne seguiranno sicuramente l'esempio.
È importante conoscere il modo in cui i moduli malware raggiungono il tuo sistema. La maggior parte dei casi registrati utilizzava allegati e-mail infetti da malware , spesso contenenti documenti Microsoft Office con script VBA dannosi. Gli aggressori utilizzano questo metodo perché è facile inviare e-mail infette da malware a milioni di potenziali obiettivi. Inoltre, l'exploit iniziale è molto piccolo e può essere facilmente mascherato da un normale file Office.
Come sempre, assicurati di mantenere aggiornato il tuo sistema e considera di investire in software antivirus di qualità. Ne vale la pena!
Vedi altro:
